Windows 10 ve 11 Sistemlerinde Yeni Güvenlik Tehdidi: RID Hacking

Microsoft’un Windows 10 ve 11 işletim sistemlerinde karşılaşılan yeni güvenlik tehdidi, kullanıcıların yönetici yetkilerini ele geçirmeyi amaçlayan RID Hacking olarak adlandırılıyor. Relative Identifier (RID) sistemi, her kullanıcının benzersiz kimlik numarasını belirler ve bu numara, bir kullanıcının erişim seviyesini tanımlar. Ancak, saldırganlar bu sistemi hedef alarak düşük yetkili bir kullanıcı hesabını yönetici yetkilerine dönüştürebiliyor.

RID Hacking Nedir ve Nasıl Çalışır?

Windows sistemlerinde her kullanıcıya atanan bir RID değeri bulunur. Örneğin, bir yönetici hesabı için RID değeri genellikle “500” iken, normal bir kullanıcı hesabınınki “1000” olabilir. RID Hacking saldırısında, saldırgan, bir hesabın RID değerini değiştirerek, o hesabın yetkilerini yükseltebiliyor. Bu saldırı için, öncelikle saldırganın SYSTEM seviyesinde erişim kazanması gerekiyor. Süreç ise şu şekilde işliyor:

1. SYSTEM Yetkisi Ele Geçirilir: Saldırgan, güvenlik açıklarını kullanarak SYSTEM seviyesinde erişim sağlar.
2. Gizli Hesap Oluşturulur: “net user” komutuyla düşük yetkili bir hesap oluşturulur ve bu hesap yalnızca SAM (Security Account Manager) kayıt defterinde görünür.
3. RID Değeri Değiştirilir: Saldırgan, yeni oluşturduğu hesabın RID değerini bir yönetici hesabınınkiyle eşleştirir, böylece hesabın yönetici yetkileri elde edilir.
4. Uzaktan Erişim Sağlanır: Saldırgan, yeni hesabı uzaktan masaüstü kullanıcıları ve yönetici grubuna ekler.
5. İzler Silinir: Saldırgan, işlem izlerini silmek için sistemin kayıt defterini düzenler ve sistem günlüklerini temizler.

RID Hacking Saldırılarına Karşı Alınabilecek Önlemler

RID Hacking gibi tehlikeli saldırılardan korunmak için aşağıdaki önlemler önerilmektedir:

• SAM Kayıt Defterine Erişimi Sınırlayın: Yetkisiz kullanıcıların SAM kayıt defterine erişmesini engellemek kritik önem taşır.
• Çok Faktörlü Kimlik Doğrulama Kullanmak: Ek güvenlik katmanları eklemek için tüm hesaplarda çok faktörlü kimlik doğrulama kullanmak faydalı olacaktır.
• Şüpheli Araçları Engelleyin: PsExec ve JuicyPotato gibi bilinen kötü niyetli araçların çalıştırılmasını kısıtlamak gerekir.
• Guest Hesaplarını Devre Dışı Bırakın: Varsayılan olarak etkin olan Guest hesaplarının, sisteme zarar verebilecek bir risk oluşturabileceğini unutmamak gerekir.

Saldırının Zorlukları ve Tehditler

RID Hacking, kullanıcılar tarafından tespit edilmesi son derece zor bir saldırı yöntemidir. Özellikle SYSTEM yetkisi elde edildikten sonra yapılan işlemler, sistem yeniden başlatılsa bile iz bırakmadan devam edebilir. Bu durum, saldırganın faaliyetlerinin uzun süre fark edilmemesine neden olabilir.

Sonuç olarak, sistem güvenliğinizi artırmak için alınacak önlemler büyük önem taşıyor. Bu tehdit ile karşı karşıya kalmamak için, yukarıda belirtilen güvenlik önlemlerini hayata geçirmek, bilgisayarınızın ve verilerinizin güvenliğini sağlayacaktır.